El ransomware es una categoría de software malicioso que bloquea el acceso a los datos de la víctima o amenaza con publicar información confidencial a menos que se cumplan las exigencias de los atacantes. El ransomware funciona cifrando los archivos informáticos. Los usuarios se ven obligados a pagar el rescate solicitado o arriesgarse a sufrir las consecuencias.
Conforme crecen nuestras interacciones y la dependencia de los sistemas digitales, también aumenta el valor de nuestros datos confidenciales. Si bien a algunos ciberdelincuentes les interesa más hurtar sigilosamente los datos para venderlos o usarlos, otros se dedican a secuestrarlos. Un ataque de ransomware se da cuando un atacante se apodera de tu sistema, tus datos, tus aplicaciones, etc., y trata de chantajearte para que pagues a cambio de recuperar el control.
Lamentablemente, este tipo de ciberdelito es muy común: solo en 2020, el Internet Crime Complaint Center (Centro de Denuncias de Ciberdelitos) del FBI recibió casi 2500 avisos de ataques de ransomware. Las pérdidas estimadas ascendieron a más de 29,1 millones de dólares estadounidenses. Y el riesgo solo va a peor, ya que los informes de ataques globales de ransomware aumentaron en más de un 700 % de 2019 a 2020. De hecho, en respuesta a esta creciente amenaza para los ciudadanos estadounidenses, las empresas y los departamentos gubernamentales, el presidente Biden emitió una orden ejecutiva en mayo de 2021 (Improving the Nation’s Cybersecurity [Mejora de la ciberseguridad nacional]), la cual proporcionaba detalles, políticas federales y prácticas recomendadas para mejorar la protección frente a los peligros del ransomware.
Aunque la amenaza del ransomware está reconocida como una de las mayores amenazas a la ciberseguridad de la era de Internet, sus orígenes son en realidad anteriores al lanzamiento de la web de cara al público. El ransomware tiene una historia compleja y no ha hecho más que seguir evolucionando a la par que las tecnologías de la información.
Entre los acontecimientos clave que han contribuido al desarrollo del ransomware como un peligro significativo se incluyen los siguientes:
- 1989: AIDS Trojan
El AIDS Trojan, también conocido como virus PC Cyborg, es uno de los primeros casos de ransomware. Se distribuía a través de disquetes y exigía el envío de un rescate a un apartado de correos en Panamá para desbloquear el ordenador infectado. - 2005: Gpcode
El ransomware Gpcode marcó un resurgir de los ataques de ransomware. Utilizaba potentes algoritmos de cifrado y exigía un rescate a cambio de una clave de descifrado. Esta versión demostró el potencial del ransomware para convertirse en un problema grave. - 2013: CryptoLocker
CryptoLocker cambió las reglas del juego en la historia del ransomware. Introdujo el uso de un cifrado asimétrico robusto, que hizo casi imposible recuperar los archivos sin pagar el rescate. Los ciberdelincuentes exigían el pago en Bitcoin, lo que dificultaba su rastreo. - 2016: Locky y Cerber
Campañas de ransomware como Locky y Cerber utilizaron métodos de distribución sofisticados, como archivos adjuntos maliciosos de correos electrónicos y kits de exploits, para infectar un gran número de dispositivos en todo el mundo. Pusieron de relieve la motivación financiera que hay detrás de los ataques de ransomware. - 2017: WannaCry
El brote del ransomware WannaCry afectó a cientos de miles de ordenadores en más de 150 países. Se aprovechó de una vulnerabilidad de Microsoft Windows, y demostró que era posible realizar ataques de ransomware globales a gran escala. - 2018: Ryuk
El ransomware Ryuk surgió como una gran amenaza para las organizaciones. A menudo se desplegaba tras un ataque inicial mediante otro malware como TrickBot. Ryuk demostró la implicación de grupos organizados de ciberdelincuentes en ataques de ransomware. - 2019: Maze y el ransomware como servicio (RaaS)
El ransomware Maze popularizó la táctica de "doble extorsión", en la que los ciberdelincuentes no solamente cifraban los datos, sino que también amenazaban con hacerlos públicos si no se pagaba el rescate. Los modelos de RaaS facilitaron a los atacantes menos cualificados lanzar campañas de ransomware contratando los servicios de operadores cualificados. - 2021: Colonial Pipeline y JBS
Los ataques de ransomware de gran repercusión en infraestructuras críticas, como Colonial Pipeline y la empresa procesadora de carne JBS, demostraron que era posible sufrir graves trastornos económicos y sociales por culpa de incidentes de ransomware. - A partir de 2022: el ransomware moderno
El ransomware actual es más sofisticado en términos de cifrado y mucho más dirigido a sectores específicos. Quizás lo más preocupante de todo es que el ransomware moderno está empezando a incorporar tecnología de IA, lo que permite diseñar ataques inteligentes, mejorados con aprendizaje automático (ML), capaces de identificar los objetivos de mayor valor y crear ataques personalizados pensados para contrarrestar las defensas establecidas.
Por desgracia, proteger a tu organización de la creciente amenaza del ransomware no siempre es sencillo. Los ataques de ransomware son cada vez más sofisticados y van más allá de los datos superficiales. En su lugar, el nuevo ransomware se diseña para capturar y retener datos de copia de seguridad e incluso tomar el control de las funciones de administración de alto nivel. Estos ataques suelen desplegarse como un único componente de una estrategia más amplia, con el objetivo de comprometer por completo los sistemas esenciales.
Del mismo modo, los actores malintencionados cada vez son más taimados; en lugar de limitarse a actuar como ciberdelincuentes individuales que operan con sus propios recursos limitados, se agrupan en colectivos organizados y bien financiados, equipos de espionaje industrial respaldados por empresas e incluso agencias gubernamentales extranjeras hostiles.
Dada la ubicuidad y diversidad de estos ciberataques, las empresas de todo el mundo corren grave peligro y pueden ser el objetivo de esta estrategia de extorsión digital.
Al igual que cualquier otro software malicioso, el ransomware puede entrar en la red de diferentes maneras, como a través de un archivo adjunto de un correo electrónico no deseado, mediante credenciales robadas, a través de un enlace de Internet no seguro, por medio de un sitio web comprometido, o incluso oculto como parte de un paquete de software descargable. Algunas formas de ransomware utilizan herramientas integradas de ingeniería social para intentar engañarte y que les concedas acceso administrativo, mientras que otras intentan eludir por completo los permisos aprovechando debilidades de seguridad existentes.
Una vez dentro de tu red, el software se despliega y ejecuta una serie de comandos entre bastidores. Esto suele implicar la subversión de cuentas administrativas críticas que controlan sistemas, como la copia de seguridad, el sistema de nombres de dominio (DNS) de Active Directory (AD) y las consolas de administración de almacenamiento. A continuación, el malware ataca la consola de administración de copias de seguridad, lo que permite al atacante desactivar o modificar los trabajos de copia de seguridad, cambiar las políticas de retención y localizar más fácilmente los datos confidenciales que podría merecer la pena tomar como rehenes.
En este punto, lo más habitual es que el malware comience a cifrar algunos o todos los archivos. Una vez inhabilitado el acceso a esos archivos, el malware se revela informándote de que ha secuestrado tus datos e indicándote cuáles son sus exigencias para recuperar el acceso. En otros tipos de malware (a menudo conocidos como "leakware"), el atacante puede amenazar con exponer públicamente ciertos tipos de datos confidenciales si no se paga el rescate. En muchos casos, los datos no solamente se cifran, sino que también se copian y roban para utilizarlos en futuras actividades delictivas.
El ransomware puede adoptar diversas formas, cada una con sus propias metodologías y objetivos únicos. Conocer los diferentes tipos de ransomware es crucial para establecer un ecosistema de ciberseguridad eficaz. Entre los tipos más comunes se encuentran los siguientes:
El ransomware de cifrado es el tipo de ransomware más común en la actualidad. Toma su nombre de su capacidad para cifrar los archivos de la víctima, o incluso bloquear el acceso a todo el sistema. A continuación, se pide a las víctimas que paguen un rescate para recibir la clave de descifrado. Lo que hace que esta forma de ransomware sea tan eficaz es que muchas organizaciones optarán por ceder ante los atacantes, al considerarlo la solución más directa y sencilla. Dicho esto, una vez que la víctima ha accedido a las demandas, puede que el atacante simplemente opte por no proporcionar la clave de descifrado y, en su lugar, exigir más dinero. Algunos ejemplos de ransomware de cifrado son CryptoLocker y Ryuk.
Menos peligroso que el ransomware de cifrado, pero potencialmente igual de inquietante, Scareware no cifra archivos, sino que utiliza la técnica del miedo para engañar a sus víctimas. Esta forma de ransomware muestra advertencias falsas o mensajes emergentes en los sistemas infectados, que a menudo alegan que el equipo de la víctima está infectado con malware o que se ha encontrado contenido ilegal. Se insta a los usuarios a pagar por una solución de seguridad falsa o a realizar otras acciones inseguras.
Algunos ejemplos son los anuncios falsos, las ventanas emergentes o los cambios no autorizados en el navegador de la víctima.
Los bloqueadores de pantalla son un tipo de ransomware que impide a los usuarios acceder a sus dispositivos o sistemas operativos, con una nota de rescate en la pantalla. Las víctimas no pueden acceder a su escritorio ni a sus archivos hasta que paguen el rescate. Estos ataques son más comunes en dispositivos móviles. En lugar de cifrar los datos de la víctima, los bloqueadores de pantalla anulan el sistema operativo para impedir que los usuarios autorizados accedan a sus datos.
Un ejemplo de bloqueadores de pantalla es el ransomware con temática policial o del FBI, que se hace pasar por las fuerzas del orden, acusa a las víctimas de actividades ilegales y las obliga a pagar una multa para desbloquear sus sistemas.
Si bien los ataques de ransomware generalmente se dividen en las categorías mencionadas anteriormente, dentro de estas categorías hay una serie de variantes de ransomware específicas, cada una con sus propias características y formas de actuar. Estas variantes evolucionan continuamente, por lo que es fundamental que las personas y las organizaciones estén informadas sobre las amenazas más recientes.
Entre las variantes más notables se encuentran las siguientes:
Ryuk es conocido por atacar objetivos de alto valor, como empresas, organizaciones sanitarias y entidades gubernamentales. A menudo pasa a la acción tras un ataque inicial de otro malware (como TrickBot). Ryuk cifra archivos y exige cuantiosos rescates, normalmente en criptomonedas.
Tal como hemos mencionado, Maze fue uno de los primeros tipos de ransomware en emplear la doble extorsión: bloqueaba el acceso de los usuarios y prometía divulgar datos confidenciales si los atacantes no recibían el pago. Esta variante ganó notoriedad por su sofisticación y por lo eficaz que era a la hora de comprometer los archivos y sistemas de grandes empresas.
REvil, también conocido como Sodinokibi, es famoso por su modelo de ransomware como servicio (RaaS). Esto permite que otros ciberdelincuentes usen este ransomware a cambio de una parte de las ganancias. A menudo se centra en organizaciones y lleva a cabo un amplio robo de datos antes del cifrado.
Lockbit es otra variante de ransomware que utiliza el modelo RaaS y que cifra archivos y pide un rescate por descifrarlos. Lo que hace que esta variante sea digna de mención es su capacidad para cifrar rápidamente cantidades sustanciales de datos de organizaciones enteras, hasta el punto de que a menudo cumple su misión antes de que la detecten. Lockbit suele propagarse a través de correos electrónicos de phishing y conexiones vulnerables del Protocolo de escritorio remoto (RDP).
DearCry es una variante de ransomware relativamente nueva que llamó la atención en 2021. Se dirige principalmente a servidores Microsoft Exchange y sistemas Windows. Cifra archivos y exige un rescate antes de devolver el acceso a los usuarios autorizados.
Como hemos mencionado, el uso de ransomware en los ciberataques va en aumento. Esta escalada explosiva puede atribuirse a una serie factores:
Atrás quedaron los días en que los ciberdelincuentes debían tener los conocimientos técnicos necesarios para crear sus propios programas maliciosos. Hoy en día, los mercados de ransomware en línea ofrecen kits, programas y cepas de malware, lo que permite a cualquier posible delincuente acceder fácilmente a los recursos que pueda necesitar para empezar.
Antes, los autores de ransomware estaban limitados en cuanto a la plataforma a la que se dirigían, y tenían que crear versiones específicas para cada plataforma adicional. En la actualidad, los intérpretes genéricos (programas capaces de traducir rápidamente el código de un lenguaje de programación a otro) permiten que el ransomware funcione en prácticamente cualquier plataforma.
Las nuevas técnicas no solamente están facilitando a los atacantes la introducción de malware en los sistemas, sino que también les permiten causar más daño una vez dentro. Por ejemplo, los programas modernos de ransomware pueden cifrar todo el disco, en lugar de archivos individuales, con lo que bloquean el sistema por completo.
Por desgracia, no existe un enfoque único de la seguridad de la red que proteja completamente a la organización de cualquier tipo de ataque de ransomware. En su lugar, las estrategias contra el ransomware eficaces implican conocer detalladamente la infraestructura de TI existente y cualquier debilidad inherente, establecer procedimientos sólidos de copia de seguridad y autenticación, y promover un cambio cultural dentro de la organización que favorezca la concienciación en materia de seguridad.
En primer lugar, considera los siguientes pasos:
Deja de lado los protocolos simples de uso compartido de la red a la hora de realizar copias de seguridad de los datos e implementa características de seguridad viables para proteger los datos de las copias de seguridad y las consolas de administración frente a los ataques. Esto ayudará a garantizar que haya copias de datos no dañadas disponibles cuando sea necesario.
A medida que se identifican nuevos programas maliciosos, los proveedores de software de seguridad y otros distribuidores actualizan sus productos y sistemas para contrarrestar estas nuevas amenazas. Desafortunadamente, a veces las empresas no aplican los parches de seguridad más recientes, lo que las hace vulnerables a amenazas conocidas. Comprueba regularmente si hay nuevas actualizaciones e instálalas en cuanto estén disponibles.
Adopta y distribuye políticas de Internet en toda la organización que detallen las prácticas recomendadas y las medidas de seguridad que deben seguir los empleados cuando estén en línea. Por ejemplo, nunca permitas que los empleados lleven a cabo actividades de la empresa o accedan a sistemas confidenciales desde una red Wi-Fi pública. Ofrece formación a todo el personal pertinente en lo que respecta a estas políticas y establece planes de respuesta que puedan seguir en caso de exposición a software malicioso.
Protege las cuentas administrativas de accesos y controles no autorizados mediante la autenticación de dos factores (o de más). Configura las cuentas de modo que, por defecto, solo proporcionen los privilegios de sistema mínimos necesarios.
Incorpora la recuperación en caso de ransomware a tu estrategia general de recuperación ante desastres. Establece un entorno de recuperación aislado (IRE, por sus siglas en inglés): un centro de datos independiente y cerrado en el que las copias de datos puedan mantenerse a salvo del acceso exterior. Incluye este IRE en todas las pruebas de recuperación ante desastres.
El conocimiento y la concienciación son algunas de las armas más eficaces de tu arsenal para combatir el ransomware; mantente al día siguiendo a profesionales y expertos en seguridad en redes sociales, revisando habitualmente los consejos sobre riesgos y sitios relacionados, y consultando las noticias relevantes.
Desarrolla un plan integral de respuesta al ransomware que describa los pasos a seguir en caso de ataque. Este plan debe incluir procedimientos para identificar y aislar los sistemas infectados, ponerse en contacto con las fuerzas de seguridad, notificar a las partes afectadas e iniciar procesos de recuperación. Contar con un plan bien definido puede reducir significativamente el caos y el tiempo de inactividad asociados a los incidentes de ransomware.
Haz copias de seguridad periódicas de todos los datos y sistemas críticos. Asegúrate de que las copias de seguridad se almacenen de forma segura y sin conexión para evitar que el ransomware las cifre o elimine. Comprueba la integridad de las copias de seguridad con regularidad para garantizar su fiabilidad en caso de pérdida de datos. Una estrategia de copia de seguridad sólida puede proporcionar un medio para recuperar datos sin pagar un rescate.
Realiza formaciones exhaustivas sobre ciberseguridad para todos los empleados, y haz hincapié en la importancia de la seguridad de los datos. Enséñales a reconocer intentos de phishing, enlaces sospechosos y archivos adjuntos de correo electrónico malintencionados. Fomenta la práctica de la gestión segura de contraseñas y el uso de la autenticación multifactor. Los empleados deben comprender su papel en la prevención de ataques de ransomware y saber cómo informar de cualquier actividad sospechosa con prontitud. La formación continua de los empleados es un componente fundamental de una defensa sólida contra el ransomware.
Si sufres un ataque de ransomware, no cedas a las demandas de los delincuentes. Hacerlo solo os identifica a tu organización y a ti como víctimas dispuestas y alienta a los delincuentes a seguir atacándote. En la mayoría de los casos, las empresas que pagan para que se les devuelvan sus datos o archivos nunca reciben una llave de descifrado que funcione. En cambio, los atacantes simplemente continúan aumentando sus demandas hasta que la empresa objetivo deje de pagar. Además, al pagar a los extorsionadores, estarías financiando su actividad criminal y exponiendo a otras organizaciones o particulares al mismo riesgo.
Si descubres que eres víctima de un ataque de ransomware, actúa rápidamente siguiendo estos pasos:
El ransomware entra en una red al infectar un solo dispositivo o sistema, pero eso no significa necesariamente que permanezca en ese lugar. Puede propagarse fácilmente a través de tu red. Por lo tanto, lo primero que debes hacer cuando descubras ransomware es desconectar el sistema infectado y aislarlo del contacto con el resto de la red. Si puedes hacerlo lo suficientemente rápido, existe una pequeña posibilidad de que puedas contener el malware en una sola ubicación, lo que facilitaría el resto del trabajo.
Al igual que los bomberos retiran la maleza y los árboles del camino de un incendio forestal, tú debes tomar medidas para detener cualquier posible propagación del ransomware desconectando y aislando cualquier otro sistema que pueda haber estado expuesto. Esto debe incluir todos los dispositivos que parezcan comportarse de forma anómala, incluidos los que podrían no estar funcionando en las instalaciones. Dificulta aún más la propagación desconectando cualquier opción de conectividad inalámbrica.
Con los archivos sospechosos aislados de la red, el siguiente paso es evaluar el alcance de los daños. Determina qué sistemas se han visto realmente afectados buscando archivos cifrados recientemente (a menudo con nombres de extensión extraños). Observa detenidamente los recursos compartidos cifrados en cada dispositivo; si uno tiene más recursos compartidos que los demás, puede ser el punto original de entrada del ransomware en la red. Apaga esos sistemas y dispositivos y crea una lista completa de todo lo que pueda haberse visto afectado (lo que incluye discos duros externos, dispositivos de almacenamiento en red, sistemas con soporte en la nube, ordenadores de sobremesa, portátiles, dispositivos móviles y cualquier otro dispositivo capaz de ejecutar o transmitir el ransomware).
Como mencionamos en el punto anterior, comprobar si los dispositivos afectados presentan un elevado número de acciones de cifrado puede ayudarte a localizar al "paciente cero". Otros métodos para localizar el origen del ransomware incluyen la comprobación de cualquier alerta antivirus que preceda directamente a la infección y la revisión de cualquier acción sospechosa del usuario (como hacer clic en un enlace desconocido o abrir un correo electrónico no deseado). Una vez descubierta la fuente, la corrección es mucho más fácil.
Contrarrestar eficazmente un ataque de ransomware a menudo depende de tu capacidad para identificar exactamente a qué variedad de ransomware te enfrentas. Hay varias formas de identificar el ransomware. La nota incluida en el ataque (la que te dice a dónde debes enviar el dinero para desbloquear tus archivos) puede servir para identificar el ransomware directamente. Es posible que también puedas buscar la dirección de correo electrónico asociada a la nota para descubrir qué ransomware está utilizando este atacante y qué han hecho otras organizaciones tras la infección. Por último, hay sitios y herramientas en línea diseñados para ayudar a identificar los tipos de ransomware, pero asegúrate de investigar a fondo tus opciones antes de comprometerte con ninguna. No querrás descargar una herramienta que no sea de fiar solamente para introducir más malware en tu sistema ya comprometido.
Una vez que hayas contenido el ransomware, es tu responsabilidad ponerte en contacto con las fuerzas de seguridad. En muchos casos, esto va más allá de un simple protocolo. Al amparo de ciertas leyes de privacidad de datos, se te puede solicitar que presentes un informe en un plazo predeterminado para cualquier filtración de datos que experimente la empresa, y el no hacerlo puede suponer multas u otras sanciones. Pero incluso si no tienes la obligación legal de ponerte en contacto con las fuerzas de seguridad, hacerlo debería ser una prioridad. Por un lado, las agencias de ciberdelincuencia probablemente tendrán acceso a más autoridad, recursos y experiencia en la resolución de este tipo de problemas, y pueden ayudar a tu empresa a volver antes a la normalidad.
Una vez solucionada la situación más crítica, es el momento de empezar a reparar los sistemas. En el mejor de los casos, si dispones de datos de copia de seguridad intactos, deberías poder restablecer los sistemas sin demasiados problemas. Asegúrate de que todos los dispositivos están libres de ransomware y otras formas de malware y, cuando lo hayas hecho, restablece los datos. Ten en cuenta que los ataques de ransomware modernos suelen dirigirse a las copias de seguridad de los datos, por lo que tendrás que asegurarte de que tus datos están en buen estado antes de restaurarlos.
Si no tienes una copia de seguridad de los datos, o si los propios datos también se han dañado, entonces tu siguiente mejor opción es tratar de encontrar una solución de descifrado. Como mencionamos anteriormente, con un poco de investigación es posible que puedas encontrar una llave de descifrado en línea que te ayude a restablecer el acceso y tomar de nuevo el control.
Tras un ataque de ransomware, será tu responsabilidad informar a tus clientes sobre el incidente. La transparencia es clave para mantener la confianza, y si descuidas el hecho de mantener al tanto a tus clientes, esa confianza se erosionará rápidamente. Comunícate con las personas que apoyan a tu empresa. Infórmales de la situación, de las acciones que estás tomando para resolverla y de cualquier posible repercusión en sus datos o servicios. Proporcionar información oportuna y precisa puede ayudar a mitigar el daño a la reputación que a menudo acompaña a estos incidentes.
Aunque hacer frente a un ataque de ransomware puede ser perturbador, es esencial esforzarse por mantener el negocio operativo durante el proceso de recuperación. Implementa un plan de continuidad empresarial para garantizar que las funciones esenciales puedan seguir operativas. Esto podría implicar redirigir las tareas a áreas no afectadas o cambiar temporalmente las operaciones para minimizar el tiempo de inactividad. Mantener la continuidad empresarial puede reducir las pérdidas financieras asociadas a los incidentes de ransomware y demostrar resiliencia a clientes y partes interesadas.
No importa si restableces tus dispositivos, encuentras una solución de descifrado o simplemente aceptas que tus datos confidenciales han desaparecido para siempre, tu paso final siempre será el mismo: reconstruir y seguir adelante. Incluso en el mejor de los casos, volver a los niveles de productividad anteriores al ataque puede ser un proceso lento y costoso. Solamente asegúrate de que, una vez superada la situación, comprendes mejor las amenazas a las que se enfrenta la organización y tienes una idea más clara de cómo defenderte de ellas.
A medida que los ciberdelincuentes se adaptan a las nuevas tecnologías y medidas de seguridad, el ransomware sigue evolucionando. Conocer las tendencias futuras del ransomware es esencial para adelantarse a las amenazas emergentes. Estas son algunas de las tendencias clave que hay que vigilar:
A medida que las organizaciones migran cada vez más sus datos y servicios a la nube, se espera que los ciberdelincuentes ataquen con mucha más frecuencia los puntos finales con soporte en la nube. Los servicios en la nube son objetivos atractivos porque almacenan grandes cantidades de datos, lo que los hace potencialmente más rentables para los operadores de ransomware. Es importante que las organizaciones protejan sus entornos en la nube y apliquen controles de acceso sólidos para mitigar estas amenazas.
Históricamente, el ransomware se ha dirigido a plataformas muy utilizadas como Windows e iOS, pero las tendencias futuras anticipan una expansión a sistemas operativos y plataformas menos comunes. Los ciberdelincuentes tratan de explotar las vulnerabilidades donde las medidas de seguridad están menos desarrollados. Las organizaciones deben aplicar medidas de seguridad exhaustivas en todos sus sistemas, incluidos los considerados menos habituales.
Los operadores de ransomware están pasando de simplemente cifrar los datos a filtrar también la información confidencial antes del cifrado. A continuación, amenazan con divulgar los datos robados si no se paga el rescate, lo que convierte la extorsión de datos en una táctica poderosa. Aunque la extorsión de datos no es nueva, el avance de las competencias está facilitando a los extorsionadores compartir los datos robados, por lo que los atacantes cuentan con una herramienta extra para chantajear a sus víctimas. Esta tendencia subraya la importancia de proteger no solamente la disponibilidad de los datos, sino también su confidencialidad.
Un desafortunado efecto secundario de la exfiltración de datos es que ahora los atacantes pueden diversificar más fácilmente sus fuentes de ingresos vendiendo los datos robados en la dark web, incluso si las víctimas acceden a pagar el rescate. Esta práctica expone a las organizaciones a riesgos adicionales más allá de la repercusión inmediata de un ataque de ransomware.
Los operadores de ransomware están empezando a aprovechar la IA y el aprendizaje automático para mejorar sus ataques. La IA puede automatizar tareas como la identificación de objetivos vulnerables y la personalización de correos electrónicos de phishing, mientras que el aprendizaje automático puede utilizarse para evadir la detección de los sistemas de seguridad (por nombrar solo algunos casos de uso). Esta tendencia subraya la importancia de incorporar la IA y el aprendizaje automático a las defensas de ciberseguridad para detectar y responder eficazmente a las amenazas en evolución, incluso aquellas que se basan en tecnologías inteligentes.
A la hora de defenderse y responder a los ataques de ransomware, el tiempo puede ser el recurso más valioso. ServiceNow®, líder en gestión de TI y automatización de flujos de trabajo, te proporciona el tiempo que necesitas, con competencias de control y supervisión claras y centralizadas. Arregla los puntos débiles de la seguridad antes de que puedan ser explotados, identifica la actividad sospechosa en la red y responde instantáneamente a las filtraciones. Además, recupérate más rápido del ransomware y de otros ataques con soluciones automatizadas de respuesta a la seguridad. ServiceNow hace todo eso posible.
Protege tu organización contra el ransomware y otros ataques con una supervisión continua y una respuesta automatizada. Obtén más información sobre el ransomware y descubre cómo ServiceNow puede ayudar a tu empresa a hacer frente a todo lo que el mundo pueda lanzar en tu contra.
Acaba con el aislamiento para gestionar el riesgo y fortalecer el cumplimiento en toda la empresa.